Cuestionario de Repaso Capítulo VI

Cuestionario de Repaso

Capítulo VI

1-     ¿Cuáles son los principios recogido en la LOPD?

Artículo 4. Calidad de datos

Articulo 5 Derechos de información recogida de datos

Articulo 6 Consentimientos.

Articulo 7 Datos especialmente protegidos

Artículos 8 datos de salud

Articulo 9 seguridades de datos

Articulo 10  Deber de secreto

Articulo 11 comunicaciones de los datos

Articulo 12 Acceso a los datos por cuenta de tercero

2-     ¿Cuáles son los derechos que pueden ejercitar los interesados según la LOPD?

Deberían ser interesado previamente de modo expreso, preciso e inequívoco de:

La existencia de un fichero o tratamiento de datos de carácter personal, finalidad de la recogida de estos y destinatario de la información.

El carácter obligatorio o facultativo de las respuestas de la preguntas que les sean planteados.

Las consecuencias de la obtención de los datos de la negativa a suministrarlo.

La posibilidad de ejercitar los derechos de acceso, rectificación cancelación y oposición.

La identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Para algunos autores este principio se viene denominando principio de conocimiento.

3-     ¿Qué tipo de derecho reconocen a un autor?

Los tipos de derechos que reconocen al autor son dos clases:

Morales y patrimoniales.

4-     ¿Cuál es la duración de los derechos de autor cuando se trata de una persona física y a partir de qué fecha se computan?

La duración es la persona natural: toda la vida del autor y setenta años después de su muerte o declaración de fallecimiento.

Persona jurídica: setenta años.

5-     ¿Que se puede considerar delito tecnológico?

La denominación que algunos autores no admiten.

6-     ¿Cuál es la diferencia entre contratación informática y contratación electrónica?

La concentración de la informática es aquella que presenta dos facetas:

En la primera es en la que la tecnología de información se presenta como objeto del derecho. Y en la segunda se dice que la tecnología de información son medio de gracia.

La contratación electrónica es aquella que se caracteriza solamente por el medio a través del cual una o varias persona consienten en obligarse, respecto de otra u otras, a dar algunas cosa o prestar algún servicio.

7-     ¿Qué clase de firma electrónica reconoce el artículo 3 de la LFE?

Reconoce la firma electrónica como la firma avanzada en un certificado reconocido y generada mediante un dispositivo seguro de la creación de la firma.

8-     ¿En qué supuesto puede el prestador enviar comunicaciones comerciales u ofertas promocionales según la LSSI?

En el supuesto celebrado en el lugar en que este establecido el prestador de servicio.

9-     ¿Cuál es la única ley vigente sobre la utilización de videocámara y cuál es su objeto?

Es la ley orgánica 4/1997, 4 de Agosto. Su objeto es grabación de imágenes y sonido de lugares públicos, abierto o cerrados. 

10- ¿Qué empresa españolas deben cumplir con la ley Sarbanes-Oxley?

La empresa norteamericana.

Cuestionario de Repaso Contrato de la auditoria informática Capítulo IV y V

Cuestionario de  Repaso

Contrato de la auditoria informática

Capítulo IV

1-      Comparativa entre las definiciones “Legales” de la auditoria de cuentas y la auditoria de sistema de información.

La auditoría de cuenta es un servicio que se presta a la empresa revisada y que afecta e interesa no solo a la propia empresa, sino también a terceros que mantengan relaciones de la misma, habida cuenta que todos ellos, empresa y terceros, pueden conocer la calidad de la información economico-contable por la cual versa la opinión emitida   por el auditor de cuenta.

La auditoría de cuenta se basa en del uso de medio informático para su desarrollo y la

2-      ¿Cuál es la naturaleza Jurídica del contracto de auditoría?

La naturaleza jurídica del contrato de la auditoria es la que  apoya fundamentalmente en tres razones.

A)    Lo establecido por el artículo 14.2 de la ley de auditoría de cuenta que se refiere al contrato de la auditoria.

B)     La ley de sociedad anónima que delibera mente excluye del organismo esta materia del capítulo de órgano social.

C)    Porque su calificación como órganos seria insertar al auditor dentro de la estructura de la sociedad y considerarlo como parte de la persona jurídica.

3-      Las normas técnicas de auditoría.

Existen normas técnicas de carácter general, sobre la cualificación del auditor, la cualidad de su trabajo en ejercicio de su protección y aspecto de ética profesional. También se pueden encontrar las normas técnicas sobre la ejecución del trabajo que determinan los procedimientos a explicar por los auditores. Y finalmente esta la normas técnicas sobre elaboración de informes, donde el auditor informático debe exponer los objetivos de control no cubiertos adecuadamente así como las recomendaciones a practicar.

4-      Auditoría interna frente a Auditoria externo en sistema de información.

En la auditoria de control interno el auditor debe de tener la capacidad y los conocimientos técnicos para revisar y evaluar el control interno del entorno en que se desarrollan y procesan los SI, capacidad para revisar riesgo y controles, evaluar y recomendar los controles necesario de los SI.

5-      Las terceras personas o interesitos y la información en el contracto de auditoría.

La información obtenida en el transcurso de sus actividades no podras ser utilizada en si provecho.

6-      Utilidad de los comités de auditoría.

El Comité de Auditoría tiene una utilidad y es que debe reforzar y respaldar tanto la función de las  contralorías internas como su independencia de la administración, y servir a la vez  de vínculo y coordinador de las tareas entre la auditoría interna y los auditores  externos, ejerciendo también de nexo entre éstos y el Directorio de la empresa.

7-      Distintos objetivos en el contrato de auditoría informática

Se entiende que los distintos objetos del contrato son la  definición y clasificación que hemos presentado. El contrato del objeto  de la auditoria informática está ampliamente diversificado y se encuentra en un periodo de auge inusitado que quiere de esfuerzo dogmático importantes para su estructuración.

8-      La auditoria en la protección de datos de carácter personal.

Este es el aspecto que más importancia tiene en relación con la materia tratada.

9-      La causa en el contrato de auditoría.  

Se puede decir que la causa dentro del contracto de la auditoria tiene dos origines: de un lado, partiendo de la autonomía de la voluntad, principio rector en materia de derecho contractual prescrito en el artículo 1255 del actual código civil, puede ser solicitada a simple voluntad de la empresa auditada y de otro lado como cumplimientos de las exigencia legal prevista en la normativa de protección de datos de carácter personal y en concreto del artículo 17 del reglamento de medida de seguridad.

10-  Característica del informe de auditoria.

El informe de auditoria es obligatorio para ciertas entidades que cumplan unos determinados parámetro. Es un documento donde se pone de manifiesto la opinión del auditor, respecto de la fiabilidad de la información contable auditada. Cualquier tercero puede valorar dicha información. Tomar decisiones sobre la base de la misma con autentico conocimiento de causa.

Cuestionario de Repaso

Capítulo V

El departamento de auditoria de los SI: organizaciones y funciones

1-      Identifique competencias y habilidades que deben tener los auditores de SI

Un auditor de SI debe tener las siguientes habilidades.

Revisar la existencia y suficiencia de los controles de los recursos de información que soportan los procesos de negocio.

Validar que los recursos de información apoyan los objetivos de negocio y cumplen los requerimientos establecidos.

Analizar el nuevo riesgo derivados de las nuevas tecnologías y de los nuevos negocios.

Formar y divulgar respectos de los riesgos amenazas que se derivan de una inadecuada utilización de los recursos de información.

2-      Cuál cree el auditor que debe de ser la ubicación en el organigrama de su organización del departamento de auditoria de SI

La ubicación de la función de la auditoria de los SI dentro de la organización debe de estar englobada con la función de la auditoria interna de dicha organización. En el cronograma la auditoria de SI está en el tercer lugar y abarca análisis de riego, planificación, evaluación, recomendación y seguimiento.

3-      Exponga al menos tres procedimientos que debe de contener la Metodologia

Uno de los procedimientos que debe tener la metodología es definir los pasos que deben de realizarse para definir una tarea.

Otro seria que el responsable de la auditoria interna debe de establecer políticas y procedimientos para guiar la de la auditoria interna.

También el auditor tiene que manejar las herramientas necesarias para poder auditar.

4-      Exponga al menos tres procedimientos que debe contener la metodología de un departamento de auditoria de SI.

Son administración de la actividad de auditoria.

Trabajo de auditoria

5-      Defina una estrategia para establecer el universo de TI de su organización

Se podría decir que un total de la integración de los SI en los procesos operativo de las organizaciones. Esta estrategia provoca que determinar dónde terminar el proceso puramente operativo y donde comienza el proceso informático sea totalmente imposible.

6-     ¿Cuál cree que es el aspecto más relevante para determinar la dimensión de un apartamento de auditoria de SI en su organización?

La sensibilidad de los órganos de gobiernos y dirección de organización  que tiene el control interno

7-      Exponga dos aspecto relevante de la definición de control interno

Es la valoración de riesgo y las actividades de control que pueden ser tanto política como de procedimiento.

8-      ¿De qué órgano depende la función de auditoria de SI?

La función de la auditoria depende del gobierno.

9-      ¿Que son los recurso de información? Nómbrelo

Los recursos de información de una organización son los siguientes.

Datos

Software de aplicaciones

Tecnología

Instalaciones

Personas

10-  Exponga los pasos en los que se descompone la planificación de auditoria de SI.

La planificación se descompone en dos pasos

A corto plazo y a largo plazo.

Cuestionario de Repaso del capítulo III

Cuestionario de Repaso del capítulo III

1-      ¿Qué diferencia y similitudes existen entre la metodología cualitativa y las cuantitativas? ¿Qué ventaja y que inconveniente tienen?

Diferencias: las cuantitativas se basan en un modelo matemático numérico que ayuda  a la realización del trabajo, y las cualitativas se basan en el razonamiento  Humano capaz de definir un proceso de trabajo.

 Similitudes: ambas van encaminadas a establecer y mejorar un entramado de contramedidas que garanticen que la probabilidad de que las amenizas se

Materialicen, sea lo más baja posible o al menos quede reducida de una

Forma razonable en costo-beneficio, y también dependen de un

Profesional.

Ventajas:

- Cualitativas: enfoca lo más amplio, plan de trabajo flexible y reductivo, se

Concentra en la identificación de eventos, incluye factores intangibles.

- Cuantitativas: enfoca pensamientos mediante uso de números, facilita la

Comparación de vulnerabilidades muy distintas, proporciona una cifra

Justificante para cada contramedida.

Desventajas:

- Cualitativas: depende fuertemente de la habilidad y calidad del personal

Involucrado, puede excluir riesgos significantes desconocidos, identificación

De eventos reales más claros al no tener que aplicar probabilidades complejas

De calcular, dependen de un profesional.

- Cuantitativas: la estimación de probabilidades dependen de estadísticas

Fiables inexistentes, estimación de las pérdidas potenciales solo si son

Valores cuantificables, metodologías estándares difíciles de mantener o

Modificar.

2-      Cuáles son las componentes de una contramedida o control (Pirámides de seguridad)? ¿Qué papel tienen las herramientas de control? ¿Cuáles son las herramientas de control más frecuentes?

Componentes: la normativa, la organización, las metodologías, los objetivos de control,  los procedimientos de control, tecnologías de seguridad, las herramientas de control.

- El papel que desempeñan las herramientas de control que permite definir uno o varios  procedimientos de control para cumplir una normativa y un objetivo de control.

Herramientas de control más frecuentes: seguridad lógica del sistema, seguridad lógica  complementaria al sistema, seguridad lógica para entornos distribuidos, control de  acceso físico, control de copias, gestión de soporte magnético, gestión y control de  Impresión y envío de listados por red, control de proyectos, control de versiones, control  y gestión de incidencias, control de cambio.

3-      ¿Qué tipo de Metodologia de plan de contingencia  existen?  ¿En qué se diferencia? ¿qué es un plan de contingencia?

Existen dos tipos de plan de contingencia que son plan de contingencia informático y pan de contingencias corporativo.

Diferencias: la corporativa cubre no sola la informática sino todos los departamentos  de una entidad, y puede incluir también el informativo como un departamento más.

Un plan de contingencia es una estrategia planificada por un conjunto de recursos de  respaldo, una organización de emergencia y unos procedimientos de actuación  encaminada a conseguir una restauración progresiva y ágil de los servicios de negocios  afectados por una paralización total o parcial de la capacidad operativa de la empresa.

4-      ¿Qué Metodologia de auditoria informática existen? ¿Para qué se usa cada una?

Existen dos que son las auditorias de controles generales y las metodologías de los auditores internos.

Las auditorias de controles generales se usan para obtener una opinión sobre la

Fiabilidad de los datos, basadas en pequeños cuestionarios estándares que dan como  resultados informes muy generalistas. Por otro lado la metodología de auditor interno  también cumple la misma función pero son diseñadas por el propio auditor.

5-      ¿Qué es el nivel de exposición y para qué sirve?

El nivel de exposición es un indicativo definido subjetivamente que permite en base a la  evaluación final de la última auditoría realizada definir la fecha de la repetición de la misma auditoria.

6-      ¿Qué diferencias existen entre las figuras de auditoria informática y control

Interno informático?  ¿Cuáles son las funciones más importantes de este?

La clara diferencia entre ambos elementos es que, el control interno monta los controles  del proceso informático, mientras que la auditoria informática evalúa el grado de  control.

Funciones principal:

Control interno informático: funciones de control dual con otros departamentos,  normativa y del cumplimiento del marco jurídico, responsable del desarrollo y  mantenimiento del plan de contingencias, controles de coste, controles de medida de  seguridad física o corporativa en la información.

7-      ¿Cuáles son las dos metodologías más importantes para el control interno informático? ¿para qué sirve cada una?

En el control interno informático existen dos grandes familias. Esta es:

Cuantitativa: sirve para la realización de un trabajo.

Cuantitativa: sirve para definir un proceso de trabajo y seleccionar en base las experiencias acumuladas.

8-       ¿Qué papel tienen las herramientas de control en los controles?

Las herramientas de control son elementos software que por sus características funcionales permiten vertebrar el control de una manera más actual y más automatizadas.

9-       ¿Cuáles son los objetivos de control en el acceso lógico?

Segregación de funciones entre los usuarios, integridad de los “log” e imposibilidad de  desactivarlos por ningún perfil para poder revisarlos, gestión centralizada de la  seguridad o al menos única, contraseña única para los distintos sistemas de la red, la  contraseña y archivos con perfiles y derechos inaccesibles a todos, el sistema debe  rechazar a los usuarios que no usan la clave, separación de entornos, el log o los log’s  de actividad no podrán desactivarse a voluntad, el sistema debe obligar a los usuarios a  cambiar la contraseña y es frecuente encontrar mecanismos de auto-loguot.

10-   Que es la certificación de seguridad? ¿Qué aporta la ISO 17779? ¿Que Metodologia se utilizan en el desarrollo de un SGSI?

Un certificado de seguridad es una medida adicional de confianza a los usuarios que visitan y realizan actividades o transacciones en una página web. Permite el cifrado de los datos entre el servidor representante a la página y los datos del ordenador del usuario.

Un concepto más preciso sería que un certificado de seguridad logra que los datos personales de los usuarios queden en criptados y de esta forma sea imposible por los demás usuarios interceptarlos.

La ISO 17799 da la pauta en la definición sobre cuáles metodologías, políticas o criterios técnicos pueden ser aplicados en el régimen de manejo de la seguridad de la información.

Se utiliza la Metodología de PDCA.

Cuestionario de repaso del capítulo I y II

Cuestionario de repaso del capítulo I

1-      ¿Qué cambio en la empresa provocan tensión en el control interno existentes?

          La mayoría de las organizaciones han acometido varias iniciativas en ese sentido, tales como:

1. La reestructuración de los procesos empresariales
2. La gestión de la calidad total
3. El redimensionamiento por reducción y/o por aumento del tamaño hasta el nivel correcto.
4. La contratación externa  
5. La descentralización.

2-      ¿Cuáles son las funciones del control interno informático?

El control interno informático controla que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la organización y/o dirección de informática, así como los requerimientos legales.

3-      ¿Cuáles son los objetivos de la auditoria informática?   

Son objetivos de protección de activos e integridad de los datos.

Objetivos de gestión que abarcan, no solamente los de protección de activos, sino también los de eficacia y eficiencia.

4-      ¿Cuáles son las semejanzas y diferencia entre control interno y auditoria informática?

 Semejanzas: Personal interno, conocimiento especializados en Tecnología de la Información, verificación del cumplimiento de controles internos, normativas y procedimientos establecidos por la Dirección de Informática y la dirección General para los sistemas de información.

Diferencias:

Control interno informático

Análisis de los controles en el día a día, informa a la dirección del Departamento de informática, solo personal interno, el alcance de sus funciones es. Únicamente sobre el depto. Informática.

Auditoria informática

Análisis   de  un momento informático   determinado, informa

General personal interno y/o externo, tiene  cobertura sobre todos los     componentes sistemas La organización.

5-      Ponga ejemplo de controles correctivos en diversas área informática

La recuperación de un fichero dañado a partir de la copia de seguridad.

Eliminación de virus mediante el uso de un antivirus o mediante el formateo de un computador.

3. Restricciones en el acceso a diferentes páginas web.

6-      ¿Cuáles son los principales controles en el área de desarrollo?

La alta dirección debe publicar una normativa sobre el uso de Metodologia de ciclo de vida del desarrollo de sistema y revisar esta periódicamente.

La Metodologia debe establecer los papeles y responsabilidades  de las distintas

De distintas área del departamentos de informática y de los usuarios.

Las  especificación del nuevo sistema deben ser definidas por los usuarios y quedar escritas y apropiada ante de que comience el proceso de desarrollo.

Debe establecerse un estudio tecnológico de viabilidad en el cual se formulen formas alternativas de alcanzar los objetivos del proyecto acompañadas de un análisis coste-beneficio de cada alternativa.

Cuando se seleccione una alternativa debe realizarse el plan director del proyecto. En dicho plan deberá existir una metodología de control de coste.

Procedimiento para la definición y documentación de especificaciones de: diseño, de entrada, de salida, de archivo, de proceso, de programas, de controles de seguridad, de pistas de auditorías, etc.

Plan de validación, verificación y pruebas.

Estándares de pruebas de programas, de pruebas de sistemas.

  Plan de conversión: prueba de aceptación final.

   Los procedimientos de adquisición de software deberían seguir las políticas de adquisición de la organización y dichos productos deberían ser probados y revisados antes de pagar por ellos y ponerlos en uso.

La contratación de programas de servicios de programación a medida ha de estar justificada mediante una petición escrita de un director de proyecto.

Deberían de prepararse manuales de operación y mantenimiento como parte de todo proyecto de desarrollo o modificación de sistemas de información, así como manuales de usuarios.

7-      ¿Qué proceso definirá para controlar la informática distribuida y las redes?

·         Planes adecuados de implementación, conservación y pruebas de adaptación para la red O  Existencia de un grupo de control de red.

·         Controles para asegurar la compatibilidad de conjunto de datos entre aplicaciones cuando la red es distribuida.

·         Procedimientos que definan las medidas y controles de seguridad a ser usados en la red de informática en conexión con la distribución del contenido de bases de datos entre los depto. Que usan la red.

·         Que se identifique todos los conjuntos de datos sensibles de la red y que se han determinado las especificaciones para su seguridad.

·         Existencia de inventarios de todos los activos de la red.

·         Procedimiento de respaldo del hardware y software de la redo Existencia de mantenimiento preventivo de todos los activos.

·         Existencia de controles que verifiquen que todo los mensajes de salida se validad de forma rutinaria para asegurar que contienen direcciones de destino válidas.

8-      ¿Qué controles se deberían establecer  en las aplicaciones?

a.       Control de entrada de datos

b.      Controles de tratamientos de datos

c.       Controles de salida de datos

9-      ¿Cómo justificaría ante un directivo de empresa  la inversión necesaria en control y auditoria  informática?

Sencillamente teniendo en cuenta que si no aplica los controles internos en su empresa, institución u organización esta será un desorden, porque no habrá parámetros, o un control de cómo hacer las cosas, y si no hace la auditoria informática, no va a estar al tanto de que todo marcha bien en cuanto a esa área.

10-  Describa la informática como modo de estructuración de las empresas.

La informática en una empresa en estos tiempos es muy importante ya que las pequeñas, medianas y grandes empresas brindan un servicio muy amplio, por así decirlo, por ello necesita de la informática para que la realización de todas las tares que se hagan, se realicen de una forma rápida y fácil. No hay un modo específico de como describir la informática como modo de estructuración de una empresa ya que estas son muy diferentes i la informática se aplica en formas diferente, en otras palabras la informática se le aplicara a la empresa dependiendo de la empresa.

Cuestionario de Repaso del Capítulo II

1-      Defina brevemente que es el ciclo de Deming  ¿De cuantas fases consta?

El ciclo de Deming, también conocido como círculo PDCA (de Edwards Deming), es una estrategia de mejora continua de la calidad en cuatro pasos, basada en un concepto ideado por Walter A. Shewhart. También se denomina espiral de mejora continua. Es muy utilizado por los Sistemas de Gestión de Calidad (SGC).

Las siglas, PDCA son el acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar).

2-      ¿Cuál es la relación entre el motor y el PDCA en los sistema de gestión de la TIC?

La relación que existe es que el ciclo de Deming es considerado como el motor en los sistemas de gestión de la TIC.

3-      ¿Qué es el conocimiento en el modelo Motor- Conocimiento de los sistemas de Gestión de la TIC?

 El conocimiento es una guía de buenas  prácticas que, desde  la perspectiva del sistema de información se define como propietario o base de datos de controles.

4-      En el SGSI-sistema de gestión de la seguridad de la información, ¿Cuál sería la base o fundamento del sistema?  Está basado en las normas UNE ISO/ IEC 27001:  1: 2005 (motor-PDCA)  y en la norma UNE  ISO/ IEC 2000 – 2.

5-       En la metodología de la evaluación de riesgo explique brevemente las pruebas de cumplimiento y sustantivas.

Existen cuatro motivos por los que se utiliza la evaluación de riesgos, estos son: Permitir  que la gerencia asigne recursos necesarios para la auditoría. Garantizar que se ha obtenido la información pertinente de todos los niveles gerenciales, y garantiza que las actividades de la  función de auditoría se dirigen correctamente a las áreas de alto riesgo y constituyen un valor  agregado para la gerencia

6-      En un modelo de certificación de sistema de gestión de TIC, explique brevemente que es la visita previa y la auditoria inicial.   

Una auditoría inicial es la primera auditoría que se realiza a una empresa según la IFS. Se lleva a cabo en fechas y horarios acordados entre la empresa y la entidad de certificación seleccionada. Durante esta auditoría, se audita la empresa en su totalidad, tanto los documentos como los procesos. Durante la auditoría, el auditor debe evaluar todos los requisitos de IFS. En el caso de una auditoría previa, el auditor que lleve a cabo esta auditoría será diferente del que lleve a cabo la auditoría inicial